ISO27001信息安全管理体系组织背景和领导作用

02

信息安全管理体系领导作用

2.1领导和承诺

    最高管理层应通过以下方式展示对信息安全管理系统的领导和承诺。

a)确保信息安全政策和信息安全目标得到确立，并与组织的战略方向相一致；b)确保将信息安全管理系统的要求纳入组织的流程 ；

c)确保信息安全管理系统所需的资源是可用的；

d)传达有效的信息安全管理和符合信息安全管理系统要求的重要性；

e)确保信息安全管理系统实现其预期结果；

f)指导和支持人员为信息安全管理系统的有效性作出贡献；

g)促进持续改进；

h)支持其他相关的管理角色，以展示他们的领导力，因为这适用于他们的责任领域。

注意本文件中提到的"业务"可被广义地解释为指那些对组织存在的目的具有核心意义的活动。

2.2政策

   最高管理层应制定一项信息安全政策，该政策应。

a)与本组织的宗旨相适应；

b)包括信息安全目标，或为设定信息安全目标提供框架；

c)包括承诺满足与信息安全有关的适用要求；

d) 包括对持续改进信息安全管理系统的承诺；

e)可作为文件信息提供；

f）在组织内进行交流；

g)酌情向有关方面提供。

2.3组织角色，责任和权力

   最高管理层应确保在组织内分配和传达与信息安全有关的角色的责任和权限。

   最高管理层应指定以下责任和权力：

a)确保信息安全管理系统符合本文件的要求；

b)向最高管理层报告信息安全管理系统的绩效；

注意最高管理层也可以分配责任和权限来报告组织内的信息安全管理系统的表现。